Thạc Sĩ Đảm bảo an toàn cho các hệ thống thanh toán điện tử trực tuyến

Đề tài: Đảm bảo an toàn cho các hệ thống thanh toán điện tử trực tuyến
LUẬN VĂN TỐT NGHIỆP
Nguyễn Sinh Thành Trang 3
Mục lục
LỜI CẢM ƠN 1
Mục lục .3
Danh mục các từ viết tắt .6
Danh mục hình vẽ 7
Mở đầu .9
Chương 1. Đặt vấn đề 10
1.1. Thương mại điện tử 10
1.1.1. Cơ sở hạ tầng cho TMĐT .12
1.1.2. TMĐT tại Việt Nam .13
1.1.3. Khuôn khổ pháp lý cho TMĐT ở Việt Nam 14
1.1.4. Yêu cầu của TMĐT đối với hệ thống thanh toán .15
1.2. Mô hình chung về ứng dụng TMĐT 16
1.3. Mục đích và phương pháp nghiên cứu .17
1.3.1. Mục đích .17
1.3.2. Phương pháp nghiên cứu 17
1.4. Bố cục của luận văn 19
Chương 2. Phân tích các hiểm họa đối với an toàn hệ thống .21
2.1. Mục đích và phân loại đảm bảo an toàn hệ thống 21
2.1.1. Mục đích .21
2.1.2. Tổng quan về các phương pháp đảm bảo an toàn, an ninh 27
2.2. Các hiểm họa đối với an toàn hệ thống 28
2.2.1. Các hiểm họa đối với máy khách .29
2.2.2. Các mối hiểm họa đối với kênh truyền thông 31
2.2.3. Các hiểm họa đối với máy chủ .33
Chương 3. Các giải pháp đảm bảo an toàn hệ thống .38
3.1. Các nguyên tắc đảm bảo an toàn, an ninh 40
3.1.1. Chính sách đảm bảo an toàn, an ninh .40
3.1.2. Đảm bảo tính bí mật và riêng tư giao dịch .41
3.1.3. Đảm bảo tính toàn vẹn giao dịch 43LUẬN VĂN TỐT NGHIỆP
Nguyễn Sinh Thành Trang 4
3.1.4. Đảm bảo tính sẵn sàng của hệ thống 46
3.2. Các kỹ thuật đảm bảo an toàn, an ninh .48
3.2.1. Mã hóa đối xứng .50
3.2.2. Mã hóa khóa công khai 52
3.2.3. Xác thực thông điệp và các hàm băm .56
3.2.4. Chữ ký số 61
3.2.5. Chứng chỉ số .63
3.3. Đảm bảo an toàn hệ thống 66
3.3.1. Bảo vệ các tài sản TMĐT .66
3.3.2. Bảo vệ các máy khách (Client) .67
3.3.3. Bảo vệ các kênh truyền thông 71
3.3.4. Bảo vệ máy chủ thương mại .75
3.4. Đánh giá và so sánh các giải pháp 80
3.4.1. Các điều kiện để đánh giá một hệ mật mã 80
3.4.2. Độ an toàn của thuật toán .82
3.4.3. Đánh giá các hệ mã sử dụng .83
Chương 4. eBill - Hệ thống thanh toán trực tuyến .86
4.1. Mô hình hệ thống 86
4.2. Giới thiệu về chuẩn ISO-8583 88
4.3. Mô tả hệ thống eBill .91
4.4. Phân tích hệ thống 95
4.5. Thiết kế hệ thống 95
4.5.1. Thiết kế kiến trúc hệ thống .95
4.5.2. Thiết kế đảm bảo an toàn, an ninh cho hệ thống 101
Chương 5. Đánh giá .109
5.1. Đánh giá hệ thống .109
5.1.1. Ưu điểm 109
5.1.2. Nhược điểm 109
5.2. Đánh giá thuật toán SecurePayment .109
Chương 6. Kết luận, kiến nghị, hướng phát triển .111
6.1. Kết luận .111LUẬN VĂN TỐT NGHIỆP
Nguyễn Sinh Thành Trang 5
6.2. Kiến nghị 111
6.3. Hướng phát triển .111
Tài liệu tham khảo 112LUẬN VĂN TỐT NGHIỆP
Nguyễn Sinh Thành Trang 6
Danh mục các từ viết tắt
ACL Access Control List – Danh sách kiểm soát truy nhập
CA Certificate Authority – Cơ quan chứng thực
CGI Common Gateway Interface – Giao diện cửa chung
CSDL Cơ sở dữ liệu
DES Data Encryption Standard – Chuẩn mã hóa dữ liệu
DSS Digital Signature Standard – Chuẩn chữ ký số
DSA Domain Name Server – Máy chủ tên miền
EDI Electronic Data Interchange – Trao đổi dữ liệu điện tử
FTP File Transfer Protocol – Giao thức truyền tệp
HTML Hypertext Markup Language – Ngôn ngữ đánh dấu siêu văn bản
HTTP Hypertext Transfer Protocol – Giao thức truyền siêu văn bản
ISO International Organization for Standardization – Tổ chức chuẩn
hóa quốc tế
OECD Organization for Economic Co-operation and Development – Tổ
chức hợp tác và phát triển kinh tế
PKI Public Key Infrastructure – Cơ sở hạ tầng khóa công khai
SET Secure Electronic Transaction – Giao dịch điện tử an toàn
S-HTTP Secure Hypertext Transfer Protocol – Giao thức truyền siêu văn
bản an toàn
SSI Server Side Include
SSL Secure Socket Layer – Tầng socket an toàn
TMĐT Thương mại điện tử
UNCITRAL United Nations Commission on International Trade Law
URL Uniform Resource Locator – Bộ định vị tài nguyên
WTO World Trade Organization – Tổ chức thương mại thế giới LUẬN VĂN TỐT NGHIỆP
Nguyễn Sinh Thành Trang 7
Danh mục hình vẽ
Hình 1.1. Hệ thống TMĐT .10
Hình 1.2. Hạ tầng cho TMĐT 12
Hình 1.3. Mô hình chung về ứng dụng TMĐT 16
Hình 2.1. Các đối tượng truyền thông trên kênh truyền 21
Hình 2.2. Xâm phạm tính bí mật của thông tin 23
Hình 2.3. Xâm phạm tính toàn vẹn của thông tin 24
Hình 2.4. Tấn công làm mất tính sẵn sàng của hệ thống .26
Hình 2.5. Mô hình kết nối máy khách – kênh kết nối – máy chủ 28
Hình 2.6. Tấn công phía máy khách 29
Hình 2.7. Nội dung động thu thập thông tin từ máy người dùng .30
Hình 2.8. Tấn công kênh truyền thông .32
Hình 2.9. Tấn công phía máy chủ 33
Hình 2.10. Hiểm họa đối với tính bí mật của máy chủ Web .35
Hình 3.1. Mô hình quản lý rủi ro .39
Hình 3.2. Lược đồ mã hóa 42
Hình 3.3. Đảm bảo tính bí mật .43
Hình 3.4. Quá trình gửi và nhận một thông điệp .44
Hình 3.5. Đảm bảo tính toàn vẹn .46
Hình 3.6. Đảm bảo tính sẵn sàng của dữ liệu và hệ thống .47
Hình 3.7. Các kỹ thuật đảm bảo an toàn, an ninh 49
Hình 3.8. Mô hình mã hóa đối xứng 51
Hình 3.9. Mô hình mã hóa khóa công khai 53
Hình 3.10. Mã hóa khóa công khai cho xác thực .55
Hình 3.11. Các dạng sử dụng mã hóa thông điệp 58
Hình 3.12. Các thuộc tính của chữ ký số .62
Hình 3.13. Chứng chỉ khóa công khai đơn giản 65
Hình 3.14. Bảo vệ máy khách 69
Hình 3.15. Cấu trúc một chứng chỉ của VeriSign 70
Hình 3.16. Bảo vệ kênh truyền thông 71LUẬN VĂN TỐT NGHIỆP
Nguyễn Sinh Thành Trang 8
Hình 3.17. Thiết lập một phiên SSL 73
Hình 3.18. Bảo vệ máy chủ 76
Hình 3.19. Giải pháp của Check Point bảo vệ hệ thống 79
Hình 4.1. Mô hình tổng quát hệ thống .87
Hình 4.2. Định dạng trường dữ liệu trong ISO8583 89
Hình 4.3. Thay đổi gói tin ISO- 8583 90
Hình 4.4. Mô hình chức năng tổng thể 91
Hình 4.5. Giải pháp kết nối hệ thống .96
Hình 4.6. Kiến trúc hệ thống 99
Hình 4.7. Lưu đồ thực hiện thuật toán HandShaking_SessionKey .106
Hình 4.8. Lưu đồ thực hiện thuật toán InterchangeApplicationMessage 107LUẬN VĂN TỐT NGHIỆP
Nguyễn Sinh Thành Trang 9
Mở đầu
Cùng với sự phát triển của công nghệ thông tin và truyền thông và xu hướng
hội nhập kinh tế toàn cầu, thương mại điện tử, mà hạt nhân là các hệ thống thanh
toán điện tử trực tuyến đã và đang phát triển mạnh mẽ trên thế giới. Rất nhiều nước
có chủ trương vừa phát triển các hoạt động cung ứng dịch vụ điện tử, vừa xây dựng
hệ thống pháp luật đầy đủ, minh bạch để đảm bảo giá trị pháp lý của các thông điệp
điện tử và giao dịch điện tử.
Ở Việt Nam, Luật Giao dịch điện tử đã được Quốc hội thông qua và có hiệu
lực từ 01/03/200, đã tạo cơ sở pháp lý để triển khai các ứng dụng giao dịch điện tử.
Tiếp theo đó, ngày 15/02/2007, Chính phủ đã ban hành Nghị định số 26/2007/NĐ-
CP quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng
thực chữ ký số. Việc ban hành các văn bản pháp lý này đã thể hiện rõ sự quyết tâm
của Nhà nước trong việc thúc đẩy nhanh, mạnh các giao dịch điện tử, tạo động lực
cho sự phát triển của nền kinh tế.
Trong các hoạt động của thương mại điện tử thì việc đảm bảo an toàn, an
ninh cho người dùng cũng như các hệ thống thanh toán điện tử trực tuyến là rất cần
thiết và là ưu tiên hàng đầu. Các phương pháp mã hóa, chữ ký số, chứng chỉ số, cơ
sở hạ tầng khóa công khai và các ứng dụng của chữ ký số, chứng chỉ số trong các
giao dịch điện tử có liên quan đến những vấn đề kỹ thuật phức tạp và hiện còn
tương đối mới mẻ với nhiều tổ chức, doanh nghiệp và người dùng ở Việt Nam. Từ
thực tế này, chúng tôi chọn đề tài: “Đảm bảo an toàn cho các hệ thống thanh toán
điện tử trực tuyến”. Đây sẽ là đề tài có ý nghĩa thực tế rất lớn bởi vì sau khi hành
lang pháp lý cho thương mại điện tử được xây dựng, thì mục tiêu tiếp theo sẽ là xây
dựng các hệ thống thanh toán điện tử. Trong hoàn cảnh Việt Nam hiện nay, việc
phát triển thương mại điện tử chậm trễ một phần là do các hệ thống thanh toán điện
tử chưa phát triển bởi vì lý do mất an toàn đối với các hệ thống thanh toán điện tử.
Luận văn sẽ tập trung phân tích các hiểm họa gặp phải trong các hoạt động thương
mại điện tử nói chung và các hệ thống thanh toán điện tử nói riêng, xây dựng các
chính sách và nguyên tắc đảm bảo an toàn, áp dụng các giải pháp kỹ thuật như mã
hóa, chữ ký số, chứng chỉ số, đề xuất các giải pháp đảm bảo an toàn cho hệ thống.
Tiếp theo, luận văn đề xuất mô hình hệ thống thanh toán điện tử và đặc tả chi tiết
một hệ thống thanh toán cụ thể - eBill.